Por Maurício Garcia, do Papo de Boteco:
Existe uma falsa impressão que o voto impresso traz mais segurança à eleição. Quem garante que uma pessoa com um alicate comum não rompa o lacre dos votos para intencionalmente invalidar uma urna de um reduto adversário? Imaginem só a logística para assegurar que 150 milhões de papeizinhos armazenados em 500 mil urnas não sejam fraudados na impressão (sim, impressoras quebram), transporte, guarda e apuração?
Para aqueles que estiverem interessados em saber mais sobre o assunto, fiz uma análise de riscos e pontos críticos de controle, comparando o sistema atual (puramente eletrônico) com o sistema híbrido (eletrônico mais impresso). Não chega a ser uma HACPP, mas tem aspectos interessantes.
Aviso: não inclui nessa análise questões político-conspiratórias, procurei focar apenas nas questões técnicas.
O processo eletrônico
Para começar, é importante compreender como se dá o processo de instalação do software em urnas eletrônicas e apuração dos resultados dos votos. A sequência abaixo é um resumo desse processo:
1) O programa é elaborado pelos técnicos do Tibunal Superior Eleitoral (TSE)
2) É gerada a versão master do programa
3) A versão master é transmitida aos tribunais regionais eleitorais (TREs) em canal exclusivo
4) Os TREs gravam mídias* com cópias do programa
5) As mídias são espetadas nas urnas para a instalação do programa
6) Os eleitores votam eletronicamente
7) Por amostragem, em alguma seções ocorre também votos em papel, além do eletrônico
8) Ao final da votação, é feita a impressão em papel dos resultados consolidados da urna
9) Os votos são copiados da urna para uma outra mídia nela inserida
10) As mídias são inseridas nos computadores dos TREs
11) Os TREs transmitem os votos ao TSE em canal exclusivo
12) O TSE faz a totalização dos votos *para facilitar a compreensão, a mídia citada é uma espécie de “pen drive”
Em tese, pode haver fraude em qualquer um dos pontos, mas do ponto 8 em diante, o processo pode ser facilmente auditado, comparando-se os dados do TSE com as impressões feitas nas urnas.
Fraudes em votos digitais
A fragilidade para a qual a impressão do voto poderia trazer mais segurança refere-se às etapas anteriores, que implicam em haver urnas com softwares maliciosos inseridos. Esses softwares fariam o “swap” dos votos, ou seja, o eleitor vota em A, mas o voto vai para B.
Para que isso seja possível, hackers teriam que fazer os seguintes passos:
a) Obter uma cópia do programa master
b)Quebrar a criptografia do programa
c) Alterar o programa para incluir o swap de votos
d) Assegurar que o programa alterado seja compatível com as chaves criptográficas das urnas
e) Copiar o programa alterado para mídias falsas
f) Fazer com que as mídias falsas sejam usadas na urna
Vale notar que os passos “b” a “e” são tipicamente de hackers e demandam avançados conhecimentos técnicos para serem executados, principalmente por que a cada eleição o sistema ganha novas camadas de proteção a partir dos resultados dos chamados “TPS – Teste Público de Segurança”. Os TPS são eventos organizados pelo TSE em que são convidados especialists em segurança para testar as vulnerabilidades dos sistema. Leia mais.